ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ-ΝΟΜΙΜΟΤΗΤΑΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Transcript

1 1 ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ-ΝΟΜΙΜΟΤΗΤΑΣ ΕΠΕΞΕΡΓΑΣΙΑΣ Kάλλη Καρβέλη Δικηγόρος Ειδικός επιστήμονας ΑΠΔΠΧ Αθήνα 25 Ιανουαρίου 2018

2 2 Περιεχόμενα Βασικές Αρχές Επεξεργασίας (άρθρο 5) Προϋποθέσεις Νόμιμης Επεξεργασίας (άρθρο 6) Προϋποθέσεις Συγκατάθεσης (άρθρο 7) Προϋποθέσεις Συγκατάθεσης Παιδιού (άρθρο 8) Επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων (άρθρο 9) Επεξεργασία δεδομένων σχετικών με ποινικές καταδίκες ή αδικήματα (άρθρο 10) Επεξεργασία που δεν απαιτεί εξακρίβωση ταυτότητας(άρθρο 11)

3 3 Κανονισμός (ΕΕ) 2016/679 Βασικές Αρχές Επεξεργασίας (άρθρο 5) Αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας (τα δεδομένα να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων). Σύννομη επεξεργασία με βάση συγκατάθεση του υποκειμένου, ή με άλλη βάση προβλεπόμενη από τον νόμο, είτε στον κανονισμό είτε σε άλλη νομοθεσία της Ένωσης ή κράτους μέλους. Η διαφάνεια απαιτεί η ενημέρωση του υποκειμένου να είναι συνοπτική, εύκολα πρόσβασιμη, κατανοητή με σαφή και απλή διατύπωση Αρχή του σκοπού (συλλογή και επεξεργασία για σαφή και προκαθορισμένο σκοπό και μη υποβολή σε περαιτέρω επεξεργασία- Εξαίρεση η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, εφόσον δεν επιτρέπεται η ταυτοποίηση των υποκειμένων των δεδομένων και παρέχονται κατάλληλες εγγυήσεις, όπως η ψευδωνυμοποίηση των δεδομένων)

4 Κανονισμός (ΕΕ) 2016/679 Βασικές Αρχές Επεξεργασίας (συνέχεια) 4 Νόμιμη η επεξεργασία για άλλους σκοπούς από τους αρχικούς, εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα αρχικά συλλέχθηκαν. Δεν απαιτείται χωριστή νομική βάση. Αρχή της αναλογικότητας (συνάφεια, προσφορότητα, αναγκαιότητα των δεδομένων) «ελαχιστοποίηση των δεδομένων» Αρχή της ακρίβειας των δεδομένων Τα δεδομένα υποβάλλονται σε επεξεργασία με τρόπο που εγγυάται την ασφάλεια και προστασία τους από παράνομη επεξεργασία ή απώλεια, καταστροφή ή φθορά τους «Ακεραιότητα και εμπιστευτικότητα» Αρχή της λογοδοσίας του υπευθύνου επεξεργασίας

5 Κανονισμός (ΕΕ) 2016/679 Βασικές Αρχές Επεξεργασίας (συνέχεια) 5 Αρχή του καθορισμού της χρονικής διάρκειας της επεξεργασίας (τα δεδομένα τηρούνται μόνο για όσο χρόνο χρειάζεται για την επίτευξη του σκοπού της επεξεργασίας) Εξαίρεση: δυνατότητα αποθήκευσης για μεγαλύτερο διάστημα σε περιπτώσεις επεξεργασίας για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, εφόσον λαμβάνονται κατάλληλα οργανωτικά μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων «περιορισμός της περιόδου αποθήκευσης»

6 6 Προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων (άρθρο 6) Συγκατάθεση υποκειμένου για έναν ή περισσότερους σκοπούς(στοιχ. α ) Αναγκαία για εκτέλεση σύμβασης ή για λήψη μέτρων πριν τη σύναψη (στ. β ) Αναγκαία για την εκπλήρωση εκ του νόμου υποχρέωσης του υπευθύνου επεξεργασίας (στοιχ. γ ) Αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου (στοιχ. δ ) Αναγκαία για την εκτέλεση έργου δημοσίου συμφέροντος ή άσκησης δημόσιας εξουσίας του υπευθύνου επεξεργασίας (στοιχ. ε ) Απολύτως αναγκαία για την ικανοποίηση έννομου συμφέροντος του υπεύθυνου της επεξεργασίας ή τρίτου, στον οποίο ανακοινώνονται τα δεδομένα, το οποίο (συμφέρον) υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του υποκειμένου, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί (στοιχ. στ ) ΜΗ ΕΦΑΡΜΟΓΗ για επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους. Τα κράτη μέλη μπορούν να θεσπίζουν ειδικότερες διατάξεις για στοιχ. γ και ε καθορίζοντας ειδικές απαιτήσεις, η νομική δε βάση των περιπτώσεων αυτών μπορεί να περιλαμβάνει ειδικές διατάξεις εφαρμογής των κανόνων (προϋποθέσεις νομιμότητας, είδη επεξεργασίας, σκοπούς, χρόνο τήρησης, διαδικασία επεξεργασίας κ.λπ.). Επίσης αρκεί ένας μόνο νόμος ως βάση για περισσότερες από μια πράξεις επεξεργασίας.

7 Προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων (συνέχεια) Ο υπεύθυνος επεξεργασίας προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα, πρέπει να λαμβάνει υπόψη μεταξύ άλλων Σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας Σχέση υποκειμένου δεδομένων και υπευθύνου επεξεργασίας Φύση των δεδομένων, ιδίως ευαισθήτων Συνέπειες περαιτέρω επεξεργασίας για υποκείμενα δεδομένων Ύπαρξη κατάλληλων εγγυήσεων που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση 7

8 8 Προϋποθέσεις συγκατάθεσης (άρθρο 7) Συγκατάθεση: Ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει δήλωση βουλήσεως του υποκειμένου των δεδομένων. Ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε. Το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και η συγκατάθεση να έχει δοθεί ελεύθερα. Θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων έχει αληθινή ή ελεύθερη επιλογή ή είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεση χωρίς να ζημιωθεί. Επεξεργασία πολλαπλών σκοπών συγκατάθεση για όλους τους σκοπούς. Εάν η συγκατάθεση παρέχεται με γραπτή δήλωση που αφορά και άλλα θέματα, το αίτημα για συγκατάθεση πρέπει να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή Δυνατότητα ανάκλησης της συγκατάθεσης ανά πάσα στιγμή, δεν θίγονται οι πράξεις επεξεργασίας που διενεργήθηκαν προ της ανάκλησης. Εάν δεν υπάρχει νομιμοποιητική βάση που δικαιολογεί τη συνέχιση της επεξεργασίας, πχ. περαιτέρω αποθήκευση των δεδομένων, πρέπει να διαγράφονται ή να ανωνυμοποιούνται από τον υπεύθυνο επεξεργασίας.

9 Προϋποθέσεις συγκατάθεσης (συνέχεια) 9 Σύμφωνα με τις «Κατευθυντήριες γραμμές σχετικά με την συγκατάθεση» της Ομάδας του άρθρου 29 της Οδηγίας 95/46 ΕΚ, η οποία βρίσκεται σε στάδιο διαβούλευσης, για να είναι έγκυρη η συγκατάθεση θα πρέπει να περιλαμβάνει τα εξής τουλάχιστον στοιχεία: - ταυτότητα του υπευθύνου επεξεργασίας - σκοπούς επεξεργασίας - είδος δεδομένων που θα συλλεχθούν και χρησιμοποιηθούν - δικαίωμα ανάκλησης συγκατάθεσης - πληροφορίες σχετικά με την χρήση των δεδομένων, ιδίως σε περιπτώσεις ηλεκτρονικής επεξεργασίας, όπως η δημιουργία προφίλ - εάν η συγκατάθεση περιλαμβάνει και διαβίβαση, αναφορά των κινδύνων από τη διαβίβαση αυτή

10 10 Συγκατάθεση παιδιού (άρθρο 8) Ειδική προστασία παιδιών ιδίως στη χρήση προσωπικών δεδομένων με σκοπό την εμπορία ή δημιουργία προφίλ προσωπικότητας ή προφίλ χρήστη. Η συγκατάθεση γονέα ή κηδεμόνα δεν θα πρέπει να είναι απαραίτητη σε περιπτώσεις παροχής υπηρεσιών πρόληψης ή συμβουλών που προσφέρονται άμεσα σε ένα παιδί. Άνω των 16 ετών νόμιμη η επεξεργασία με συγκατάθεση Κάτω των 16 με συγκατάθεση του ασκούντος τη γονική μέριμνα Τα κράτη μέλη μπορούν να προβλέπουν δια νόμου μικρότερη ηλικία όχι όμως κάτω των 13 ετών. Ο υπεύθυνος επεξεργασίας πρέπει να επαληθεύει ότι η συγκατάθεση παρέχεται ή εγκρίνεται από τον ασκούντα τη γονική μέριμνα.

11 Επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων (άρθρο 9) Απαγορεύεται η επεξεργασία προσωπικών δεδομένων που αποκαλύπτουν φυλετική-εθνοτική προέλευση, πολιτικά φρονήματα, θρησκευτικές-φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλικής ζωής, γενετήσιου προσανατολισμού. Κατ εξαίρεση επιτρέπεται η επεξεργασία εφόσον συντρέχει μία από τις παρακάτω προϋποθέσεις: Ρητή συγκατάθεση Επεξεργασία αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου ή τρίτου, εάν το υποκείμενο τελεί σε φυσική ή νομική αδυναμία να δώσει συγκατάθεση Επεξεργασία απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση των δικαιωμάτων υπευθύνου επεξεργασίας ή υποκειμένου δεδομένων στον τομέα του εργατικού δικαίου και δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας με κατάλληλες εγγυήσεις για τα δικαιώματα του υποκειμένου των δεδομένων Επεξεργασία αφορά δεδομένα που προδήλως δημοσιοποιεί το ίδιο το υποκείμενο των δεδομένων 11

12 Επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων (συνέχεια) Η επεξεργασία διενεργείται στο πλαίσιο δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα και αφορά αποκλειστικά τα μέλη Θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα Για λόγους δημοσίου συμφέροντος Για σκοπούς προληπτικής ιατρικής, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης Για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας. Μπορεί να γίνει και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων 12

13 Επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων (συνέχεια) 13 Για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής, ιατρικής έρευνας ή για στατιστικούς σκοπούς βάσει του δικαίου της Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι του επιδιωκόμενου σκοπού, σέβονται την ουσία του δικαιώματος προστασίας και προβλέπουν κατάλληλα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και συμφερόντων του υποκειμένου των δεδομένων. Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους ή/και περιορισμούς όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων υγείας.

14 Επεξεργασία δεδομένων σχετικών με ποινικές καταδίκες και αδικήματα (άρθρο 10) 14 Η επεξεργασία προσωπικών δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα διενεργείται υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα των υποκειμένων. Πλήρες ποινικό μητρώο τηρείται μόνον υπό τον έλεγχο επίσημης αρχής.

15 Επεξεργασία που δεν απαιτεί εξακρίβωση ταυτότητας (άρθρο 11) 15 Εάν οι σκοποί επεξεργασίας δεν απαιτούν ή δεν απαιτούν πλέον την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να διατηρεί, αποκτά ή επεξεργάζεται συμπληρωματικές πληροφορίες για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων, αποκλειστικά και μόνον για τον σκοπό της συμμόρφωσης με τον Κανονισμό.

16 16 Ο Ρόλος του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer) Βασικές έννοιες: Υπεύθυνος «Eπεξεργασίας» ή «Προστασίας»; Καθήκοντα Προσόντα Θέση στο δημόσιο φορέα Ορισμός: Υποχρεωτικός ή μη; Χρήσιμες Συνδέσεις

17 Βασικές έννοιες: Υπεύθυνος «Eπεξεργασίας» ή «Προστασίας»; 17 Υπεύθυνος Eπεξεργασίας Δεδομένων (Data Controller) καθορισμός σκοπών & τρόπων (μέσων) επεξεργασίας π.χ. Υπουργείο, Γενική Γραμματεία, Ασφαλιστικό Ταμείο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer) παροχή συνδρομής σε Υπεύθυνο Επεξεργασίας ή Εκτελούντα την Επεξεργασία π.χ. υπάλληλος ή εξωτερικός συνεργάτης (ά. 37 παρ. 6 ΓΚΠΔ)

18 Καθήκοντα ΥΠΔ (ά. 39 παρ. 1 ΓΚΠΔ) Ενημερωτικές/συμβουλευτικές υπηρεσίες σχετικά με υποχρεώσεις υπευθύνου επεξεργασίας & εκτελούντος την επεξεργασία Παρακολούθηση εσωτερικής συμμόρφωσης Εκτίμηση αντικτύπου (ά. 35 ΓΚΠΔ) Συμβουλευτικές υπηρεσίες κατόπιν αίτησης & παρακολούθηση υλοποίησης Συνεργασία με εποπτική αρχή (ΑΠΔΠΧ) Σημείο επικοινωνίας με εποπτική αρχή (ΑΠΔΠΧ) Δεν φέρει προσωπική ευθύνη για μη συμμόρφωση με τις απαιτήσεις του ΓΚΠΔ στην προστασία των δεδομένων 18

19 Προσόντα ΥΠΔ (ά. 37 παρ. 5 & αιτ. σκ. 97 ΓΚΠΔ) Εμπειρογνωσία στο δίκαιο και πρακτικές περί προστασίας δεδομένων ανάλογα με πράξεις επεξεργασίας δεδομένων βαθμός απαιτούμενης προστασίας Ικανότητα εκπλήρωσης καθηκόντων ά. 39 ΓΚΠΔ Το αναγκαίο επίπεδο εμπειρίας θα πρέπει να καθορίζεται ανάλογα με τις πράξεις που διενεργούνται και από την προστασία που απαιτούν τα δεδομένα Να εκτελούν τα καθήκοντα τους με ανεξάρτητο τρόπο 19

20 Θέση ΥΠΔ (ά. 38 ΓΚΠΔ) Συμμετέχει σε όλα τα ζητήματα σχετικά με την προστασία προσωπικών δεδομένων Ελεύθερη πρόσβαση σε δεδομένα και πράξεις επεξεργασίας Απαραίτητοι πόροι Δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του και δεν απολύεται ούτε υφίσταται κυρώσεις επειδή επιτέλεσε τα καθήκοντά του/ανεξαρτησία Λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή εκτελούντος Τα υποκείμενα επικοινωνούν απευθείας μαζί του Τήρηση απορρήτου και εμπιστευτικότητας Μπορεί να ασκεί και πρόσθετα καθήκοντα- προϋπόθεση η μη σύγκρουση συμφερόντων 20

21 21 Ορισμός: Υποχρεωτικός ή μη; Ο ορισμός του είναι υποχρεωτικός όταν: Η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα Απαιτείται συστηματική και τακτική παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα ή Οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή εκτελούντος συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (ευαίσθητων) και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα Σε δημόσιες αρχές και φορείς μπορεί να ορίζεται ένας υπεύθυνος προστασίας για πολλές τέτοιες αρχές ή φορείς, λαμβάνοντας υπόψη το μέγεθος και την οργανωτική τους δομή

22 Ορισμός: Υποχρεωτικός ή μη; (συνέχεια) 22 Σύμφωνα με τις «Κατευθυντήριες γραμμές σχετικά με τους υπευθύνους προστασίας δεδομένων» της Ομάδας του άρθρου 29 της Οδηγίας 95/46/ΕΚ, στην έννοια της δημόσιας αρχής ή δημόσιου φορέα που υποχρεούται να ορίσει υπεύθυνο προστασίας δεδομένων εμπίπτουν και άλλα φυσικά ή νομικά πρόσωπα δημοσίου ή ιδιωτικού δικαίου που εκπληρώνουν δημόσια καθήκοντα ή ασκούν δημόσια εξουσία, όπως υπηρεσίες δημοσίων μεταφορών, ύδρευσης και παροχής ενέργειας, οδικές υποδομές, δημόσια ραδιοτηλεόραση, κατασκευή εργατικών κατοικιών, ή πειθαρχικά όργανα για νομοθετικά κατοχυρωμένα επαγγέλματα. Η δραστηριότητα του υπευθύνου προστασίας καλύπτει όλες τις πράξεις επεξεργασίας που διενεργούνται, περιλαμβανομένων και όσων δεν σχετίζονται με την εκπλήρωση δημόσιου καθήκοντος ή άσκησης δημόσιας εξουσίας (π.χ. διαχείριση βάσης δεδομένων υπαλλήλων).

23 Ορισμός: Υποχρεωτικός ή μη; (συνέχεια) 23 Σύμφωνα με την ίδια γνώμη της Ομάδας του άρθρου 29, για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη : α) ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του πληθυσμού β) ο όγκος και το εύρος των δεδομένων γ) η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας δ) η γεωγραφική έκταση της επεξεργασίας

24 24 Χρήσιμες Συνδέσεις Ευρωπαϊκή Επιτροπή Κατευθυντήριες γραμμές Ο.Ε. ά Ευρωπαίος Επόπτης Προστασίας Δεδομένων DPO Corner ΑΠΔΠΧ /portal/page?_pageid=33,311094&_dad=portal&_sch ema=portal /portal/page?_pageid=33,125998&_dad=portal&_sch ema=portal

25 25 Ευχαριστώ για την προσοχή σας